JS.Proslikefan
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
JS.Proslikefan是一个用JS脚本传播的蠕虫病毒,它通过映射的网络共享,可移动驱动器和文件共享进行传播。
当蠕虫执行时,它会复制自身到以下位置:
%UserProfile%\Application Data\uc\cu.js
%ProgramFiles%\3db7\3cb3.js
%UserProfile%\Start Menu\Programs\Startup\[ENCODED STRING].js
接下来,蠕虫会修改以下文件,以改变用户的主页:
%UserProfile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
%UserProfile%\Local Settings\Application Data\Mozilla\Firefox\Profiles\user.js
该蠕虫会创建以下注册表,以便在系统启动时,蠕虫开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"cu" = "%UserProfile%\Application Data\uc\cu.js"
接下来,它会删除以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
接着,它会修改以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"EnableFirewall" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"MigrateProxy" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"ParseAutoexec" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallDisableNotify" = "1"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\"NoDispCPL" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusDisableNotify" = "1"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"HomePage" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NofolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT\"DontReportInfectionInformation" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoWindowsUpdate" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"UpdatesDisableNotify" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\"HomePage" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = "1"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\"DisableTaskMgr" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallOverride" = "1"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"SystemRestoreDisableSR" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Start" = "4"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\"www" = "[VALUE FROM CONFIGURATION FILE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\"Default" = "[VALUE FROM CONFIGURATION FILE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page"22 = "[VALUE FROM CONFIGURATION FILE]"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[VALUE FROM CONFIGURATION FILE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\"Default" = "[VALUE FROM CONFIGURATION FILE]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer
该蠕虫会检查计算机上是否安装了杀毒软件,并关闭相关进程。
该蠕虫可能会连接以下远程控制与命令服务器:
jsh37.net
从远程控制与命令服务器,下载一个配置文件,保存到以下位置:
%SystemDrive%\prospect\knock
蠕虫还将自身复制到以下位置:
%DriveLetter%\[SCRIPT NAME].js
然后创建以下文件,以便访问驱动器时执行:
%DriveLetter%\autorun.inf
接着,从下列地址,下载配置数据:
thepiratebay.org
该蠕虫通过创建一个ZIP文件,使用配置的数据,将其复制到下面的网络共享文件夹:
ares\my shared folder
bearshare\shared
edonkey2000\incoming
emule\incoming
grokster\my grokster
icq\shared folder
kazaa lite k++\my shared folder
kazaa lite\my shared folder
kazaa\my shared folder
limewire\shared
morpheus\my shared folder
My Documents\FrostWire\Shared
tesla\files
winmx\shared
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Encriyoko
警惕程度 ★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
Trojan.Encriyoko是一个木马,它在受感染的计算机上对某些文件进行加密。
当木马执行时,它对文件路径没有以下字符串的所有文件进行加密:
krecycle
local settings
program files
programdata
ravbin
windows
其次,它对有以下扩展名的任意文件进行加密:
.7z
.asp
.aspx
.bas
.c
.cpp
.cs
.frm
.go
.gz
.iso
.java
.jpg
.jsp
.pas
.php
.pl
.png
.psd
.py
.rar
.rb
.vb
.zip
该木马还对包含以下字符串扩展名的文件进行加密:
111
doc
drw
dw
dx
grp
mce
mcg
mdb
pag
pdf
pic
ppt
rpl
sh
win
wvw
xls
接着,它加密固定磁盘驱动器上的所有文件和文件夹。
木马使用Blowfish算法进行加密。
初始算法密钥,被保存到以下位置:
D:\nepia.dud
另外,该木马可能会产生一些随机大写英文字母,长度为40字节的初始密钥。
该木马加密的文件名储存在以下位置:
%Temp%\vxsur.bin
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Wisti
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
Backdoor.Wisti是一个木马,它在受感染的计算机上打开一个后门。
该木马通常会生成一些而已的PDF文件。
木马执行时,会创建以下文件:
%Temp%\csrss.exe
%Temp%\lass.exe
%Temp%\svchost.exe
%UserProfile%\Application Data\Microsoft\Network\msscrt726.dll
%Windir%\~00ELISE1D797.TMP
然后,它创建以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\stisvc
木马会连接到以下的一个,或者多个URL地址:
[https://]77.78.29.94/c0883674/page_30892[REMOVED]
[https://]77.40.52.146/c0883674/page_30892[REMOVED]
[https://]27.1.84.7/c0883674/page_30892[REMOVED]
[https://]91.197.18.85/c0883674/page_30892[REMOVED]
[http://]77.78.29.94/c0883674/page_30892[REMOVED]
[http://]91.197.18.85/c0883674/page_30892[REMOVED]
[http://]200.25.216.124/c0883674/page_30892[REMOVED]
[https://]200.25.216.124/c0883674/page_30892[REMOVED]
[http://]27.1.84.7/c0883674/page_30892[REMOVED]
[https://]77.78.29.94/c0881492/page_30892[REMOVED]
[http://]27.1.84.7/c0881492/page_30892[REMOVED]
[http://]65.203.140.75/c0881492/page_30892[REMOVED]
[http://]77.78.29.94/c0881492/page_30892[REMOVED]
[https://]190.196.71.231/c0881492/page_30892[REMOVED]
[https://]27.1.84.7/c0881492/page_30892[REMOVED]
[https://]65.203.140.75/c0881492/page_30892[REMOVED]
[https://]77.40.52.146/c0881492/page_30892[REMOVED]
接着,它连接以下远程控制与命令服务器之一:
27.1.84.7
65.203.140.75
77.40.52.146
77.78.29.94
91.197.18.85
190.196.71.231
200.25.216.125
该木马连接到远程控制与命令服务器的以下端口:
80
443
该木马允许远程攻击者,在电脑上执行以下操作:
收集系统和用户信息
找回 Internet Explorer和Firefox的配置数据
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app/member/upupflash.php
**loadoadadd.**pornornrnn.
挂马网站提示:
http://iposchen.**222.org
http://wwwxxx.**666.org
http://nmll.**222.org
http://hj688.**222.org
http://88899.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供